Закон Калифорнии о защите персональных данных потребителей (CCPA)

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общие права на защиту данных (GDPR) для потребителей, отказ от передачи определенных данных и требование согласия для несовершеннолетних.

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.

CCPA вступает в силу 1 января 2020 г. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.

Многие права CCPA, которые ccPA предоставляет калифорнии, аналогичны правам, которые предоставляет GDPR, включая запросы на раскрытие и запросы потребителей, аналогичные запросам на предоставление прав субъекта данных (DSR), таким как доступ, удаление и переносимость. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:

• Поиск: определите, какие личные сведения у вас есть и где они хранятся.
• Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
• Управление: управляйте использованием данных и доступом к ним.
• Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них.
• Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.

Необходимо понимать, какие обязательства вашей организации выполняются в рамках CCPA и как вы их выполняете, хотя корпорация Майкрософт поможет вам в вашем пути.

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего:

• предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
• включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;
• предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;
• Включите элемент управления, который позволит потребителям отказаться от продажи данных потребителя. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена.
• Для несовершеннолетних( до 16 лет) включите процедуру согласия, чтобы не было возможности продажи персональных данных несовершеннолетних без активного согласия на продажу.
• Убедитесь, что потребители могут осуществлять все свои права по CCPA.

В соответствии с CCPA необходимо предоставить следующую информацию:

• категории личных сведений потребителя, которые были собраны;
• категории источников, используемых при сборе;
• бизнес-цели или коммерческие цели сбора данных;
• Категории третьих лиц, которым предоставлен общий доступ к персональным данным.
• Категории персональных данных, которые были проданы, и категории "третьих лиц", которым была продана каждая категория персональных данных.
• Категории персональных данных, которые были раскрыты в бизнес-целях (т. е. переданы, но не "продажи"), а также категории "третьих лиц", которым была передана каждая категория персональных данных.
• отдельные части личных сведений, которые были собраны о потребителе.

Определение "продажа" в CCPA является чрезвычайно широким, включая "предоставление доступа к личной информации" третьей стороне для денежных или других ценных соображений. Если потребитель выбрал "отказаться", бизнесу потребуется отключить поток персональных данных для любого стороннего производителя.

CCPA предоставляет ряд карвей для этого элемента управления отказом от продажи. Три основных каретки — это передача (i) поставщику услуг, (ii) в исключенную сущность или "подрядчик" и (iii) в направлении потребителя. Даже если потребитель выбрал "отказаться", персональные данные могут по-прежнему передаваться третьим лицам, которые помещаются в эти карусельы.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.

В контексте CCPA предприятия являются отдельными лицами или сущностями, которые определяют цели и средства обработки персональных данных потребителя, а поставщики услуг — отдельными лицами или сущностями, которые обрабатывают информацию от имени компании. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.

Частное право на иск в CCPA ограничено нарушением безопасности данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA. Мы также просмотрели наши сторонние соглашения о совместном использовании данных и предприняли действия, чтобы убедиться, что выполнены необходимые договорные условия, чтобы не продавать личную информацию.

• Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA.
• Создайте процесс эффективного реагирования на запросы потребителей.
• Настройка меток и политик для обнаружения, & классификации меток и защиты конфиденциальных данных с помощью Защита информации Microsoft Purview.
• Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.
• Дополнительные сведения см. в этой записи блога.

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

• обязательства по прозрачности и предоставлению информации;
• права потребителей на доступ, удаление и получение копии данных;
• Определение "поставщиков услуг", аналогично тому, как GDPR определяет "обработчики" с аналогичным договорным обязательством.
• Определение "предприятия", охватывающее определение GDPR "контроллеров".

Основное различие в CCPA заключается в том, что основное требование заключается в том, чтобы отказаться от продажи данных третьим лицам (при этом "продажа" широко определена для включения общего доступа к данным для ценных аспектов). Это более узкое и конкретное обязательство по сравнению с широким правом GDPR на обработку, которое охватывает этот тип продажи, но не ограничивается таким типом общего доступа.

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу. Нет различия между личными, общественными или рабочими ролями человека. Определенный термин "персональные данные" примерно соответствует "персональным данным" в соответствии с GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.

Вот некоторые примеры персональных данных.

Идентификация

• Имя
• Домашний адрес
• Рабочий адрес
• Номер телефона
• Номер мобильного телефона
• Адрес электронной почты
• Номер паспорта
• Номер национального удостоверения личности
• Номер социального страхования (или его эквивалент)
• Водительское удостоверение
• Физическая, физиологическая или генетическая информация
• Медицинские сведения
• Культурная принадлежность

Финансы

• Банковские реквизиты и номера счетов
• Номер налогоплательщика
• Номера кредитных и дебетовых карт
• Публикации в социальных сетях

Артефакты в сети

• Публикации в социальных сетях
• IP-адрес (для региона ЕС)
• Местоположение и данные GPS
• Файлы cookie

• CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
• Для детей в диапазоне от 13 до 16 лет CCPA накладывает новое обязательство по предоставлению согласия от ребенка на любую "продажу" его персональных данных.

В октябре 2019 г. в документ CCPA был передан ряд поправок. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия. Однако для этой поправки установлен срок действия, равный одному году. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.  

Нет. Мы как поставщик веб-службы, чтобы убедиться, что мы квалифицируемся как поставщик услуг в рамках CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.